JP3762163B2 - 耐タンパ性装置によるサービス提供方法,サービス提供システムおよび認証装置のプログラム記録媒体 - Google Patents

耐タンパ性装置によるサービス提供方法,サービス提供システムおよび認証装置のプログラム記録媒体 Download PDF

Info

Publication number
JP3762163B2
JP3762163B2 JP29905399A JP29905399A JP3762163B2 JP 3762163 B2 JP3762163 B2 JP 3762163B2 JP 29905399 A JP29905399 A JP 29905399A JP 29905399 A JP29905399 A JP 29905399A JP 3762163 B2 JP3762163 B2 JP 3762163B2
Authority
JP
Japan
Prior art keywords
card
service providing
tamper resistant
authentication
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP29905399A
Other languages
English (en)
Other versions
JP2001119390A (ja
Inventor
哲之 森田
後藤  義徳
信夫 武藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP29905399A priority Critical patent/JP3762163B2/ja
Publication of JP2001119390A publication Critical patent/JP2001119390A/ja
Application granted granted Critical
Publication of JP3762163B2 publication Critical patent/JP3762163B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

【0001】
【発明の属する分野】
本発明は,ICカードなどの耐タンパ性装置を用いるサービス提供システムであって,特に,耐タンパ性装置を認証する認証装置がネットワークを介して耐タンパ性装置を認証するシステムに関する。
【0002】
【従来の技術】
従来のICカードシステムでは,ICカード,サービス提供装置およびICカードを認証する認証装置の管理,運営を一つの主体が行っており,ICカードが本物であるというICカードの真正性の確認と,ICカードに格納された情報の利用とは,ICカードとサービス提供装置が共通に所持する秘密情報(アクセスキー)を確認することで行われていた。一つの情報に複数のアクセスキーを設定し,アクセス権管理を行うことも可能であるが,これらのアクセス権はICカード発行の際に設定され,ICカード発行後の変更が不可能であること,また,設定可能なアクセス権の件数に上限(現在広く流通しているICカードでは7件)があることなどから,共通のICカードに対して複数のサービス提供装置が接続し,利用するシステムを構築するには,サービス提供装置間,すなわちサービス提供主体間でアクセスキーを共有することが必要であった。
【0003】
しかし,本来,アクセスキーは秘密情報で限定された管理者のもとで管理されるべき情報であり,複数のサービス提供装置間でアクセスキーを共有することによって,悪意のサービス提供装置によるアクセスキーの漏洩の可能性などがあり,複数の主体が同一のICカードを利用してサービスを行うことへの障害となっていた。また,複数のICカードの秘密情報の管理手法や,ICカードシステム構築のために必要な高度な知識は,ICカードシステムの導入を困難なものとしていた。
【0004】
【発明が解決しようとする課題】
従来のICカードシステムでは,ICカード,サービス提供装置,ICカードを認証する認証装置の管理,運営を一つの主体が行っており,複数のサービス提供主体を考慮したICカードシステムになっていない。また,サービス提供主体が直接ICカードに格納された情報を取り扱うため,ICカードに対する高度な技術や知識のないサービス提供主体がICカードシステムを構築するのは困難である。
【0005】
そこで,本発明の目的は,容易に多くの主体が同一のICカードを利用してサービスを行うことができるICカードシステムを提供することにある。
【0006】
【課題を解決するための手段】
本発明は,ネットワークを通じて個人が携帯可能な耐タンパ性装置(ICカードなど)と通信する認証装置が,通信結果を多くの主体が管理運営するサービス提供装置に保証可能とするため,耐タンパ性装置の証明書を作成し送信することを最も主要な特徴とする。従来の技術とは,ICカード証明書をネットワークで接続された複数のサービス提供装置に通知し保証する手段を持つ点が異なる。具体的には,以下のとおりである。
【0007】
本発明では,サービス提供装置は,ICカード所有者がICカードを接続するなどしてICカードの利用意思を受けると,ネットワークを通じて認証装置に対しICカード証明要求を行う。
【0008】
認証装置は,ICカード証明要求を受けると,サービス提供装置の持つICカード通信手段を通してICカードと相互認証を行い,ICカードが確かに偽造ではないICカードであるというICカードの真正性を確認する。認証装置は,ICカードの真正性が確認できると,ICカード内に格納されている情報をICカードから読み出す。ここで,ICカードに格納されている情報は,例えばICカードの発行時に記録した書き換え不可能な該ICカードに唯一の番号(ICカードID)などが代表される。認証装置は,ICカードの真正性とICカードに格納されている情報とを確認すると,ICカードの真正性とICカードに格納されている情報とをサービス提供装置に証明するICカード証明書を作成する。作成されたICカード証明書は,認証装置からサービス提供装置に送信される。
【0009】
サービス提供装置は,受け取ったICカード証明書によりICカードの真正性とICカードに格納されている情報を確認することで,サービス提供装置に接続されたICカードの情報を得る。サービス提供装置では,前記ICカードに格納されている情報をもとに,ICカード所有者に対してサービスを行う。
【0010】
本発明の別の態様において,ICカード所有者によりICカードが接続されICカード証明要求を作成するサービス提供装置と,ICカード証明書を受け取り実際にサービスを行うサービス提供装置が異なった装置として存在し,ネットワーク的に離れた位置にあってもよい。その場合,上記ICカード証明要求では,前記実際にサービスを行うサービス提供装置のネットワーク的な位置が明示される。便宜上,この明細書では,ICカードが接続されるサービス提供装置と実際にサービスを行うサービス提供装置とが異なる場合に,ICカードが接続されるサービス提供装置をICカード接続装置と称する。
【0011】
本発明の別の態様において,認証装置は,ICカードの真正性のみを確認し,ICカードの真正性のみを保証するICカード証明書を作成し,サービス提供装置に送信する。必要に応じて,サービス提供装置あるいはICカード接続装置は,ICカード内に格納されている情報を認証装置に証明するよう要求するICカード証明要求をさらに作成して送信し,認証装置はICカード内に格納されている情報を証明するICカード証明書をさらに作成し,サービス提供装置に送信する。
【0012】
本発明の別の態様において,上記ICカードに格納されている情報は,ICカードと認証装置のみが知り得る情報によって暗号化される。
【0013】
本発明の別の態様において,ICカード証明要求は,サービス提供装置のみが知り得る情報によって署名が添付される。
【0014】
本発明の別の態様において,認証装置は,サービス提供装置を介してICカード所有者に正しいICカード所有者のみが知り得るICカード所有者認証情報を要求する。ICカード所有者認証情報としては,個人認証番号(PIN)が代表される。認証装置は,前記ICカード所有者認証情報を受け取ると,ICカードの真正性とICカードに格納されている情報と正しいICカード所有者であることを証明するICカード証明書を発行する。
【0015】
本発明の別の態様において,認証装置は,サービス提供装置を介してICカード所有者にICカードをサービス提供装置に接続するよう求める機能を持つ。
【0016】
本発明の別の態様において,サービス提供装置は,送信したICカード証明要求を記録し保存する。
【0017】
本発明の別の態様において,サービス提供装置は,受信したICカード証明書を記録し保存する。
【0018】
本発明の別の態様において,認証装置は,受信したICカード証明要求を記録し保存する。
【0019】
本発明の別の態様において,認証装置は,送信したICカード証明書を記録し保存する。
【0020】
本発明の別の態様において,ICカード証明書は,認証装置のみが知り得る情報によって署名が添付される。
【0021】
本発明の別の態様において,ICカードの真正性を確認するための上記相互認証は,認証装置とICカード以外のものには解読することや模倣することのできない暗号手段を用いて行う。
【0022】
本発明の別の態様において,サービス提供装置は,ICカード証明書に記載される認証装置がICカードを認証した日時を確認する。
【0023】
本発明の別の態様において,サービス提供装置は,ICカード証明書を受け取り,さらにサービス提供装置は,直接ICカードと接続して,該ICカードに格納されている情報をICカードから読み込み,該ICカード証明書に記載された情報と該直接読みこんだ情報とをもとに,提示されたICカードに対応したサービスを行う。
【0024】
本発明の別の態様において,前記認証装置は,ICカード証明書によって保証する内容を,ICカード証明要求を作成する主体またはサービス提供装置またはICカード接続装置,あるいは実際にサービスを行うサービス提供主体またはサービス提供装置によって,変更する。例えば,ICカードIDをサービス提供主体に応じて異なった番号に変更して通知する。
【0025】
本発明の別の態様において,ICカードと認証装置の前記相互認証は,ICカードは認証装置の認証を行わず,認証装置のみがICカードを認証する方法で代用される。
【0026】
本発明の別の態様において,前記ICカードは,耐タンパ性を持つセキュリティ・アプリケーション・モジュール(SAM)を内蔵したモバイル装置によって代用される。
【0027】
本発明の別の態様において,前記ICカードは,ICカードおよびSAM内蔵装置以外の耐タンパ性装置によって代用される。
【0028】
以上の認証装置,サービス提供装置またはICカード接続装置の処理を計算機によって実現するためのプログラムは,計算機が読み取り可能な可搬媒体メモリ,半導体メモリ,ハードディスクなどの適当な記録媒体に格納することができる。
【0029】
以上の説明において,ICカード証明書は,認証装置がサービス提供装置に対してサービス提供装置あるいはICカード接続装置に接続されたICカードの真正性あるいはICカードに格納された情報あるいはそれらの両方を保証するデータを意味する。また,ICカード証明要求は,サービス提供装置が認証装置にICカード認証書を作成しサービス提供装置に送信するよう要求するデータを意味する。また,ICカード内に格納されている情報は,例えばICカードIDやICカード所有者の個人情報やポイントサービスのためのポイント情報など,ICカード内に格納できるすべての情報が該当する。
【0030】
【発明の実施の形態】
以下,図面を用いて本発明に係る実施の形態を詳細に説明する。以下の説明では,耐タンパ性装置の代表的なものとしてICカードを例に説明する。耐タンパ性装置は,第三者が装置中の情報を不正に読み書きできない装置であり,ICカードに限らず,耐タンパ性を持つセキュリティ・アプリケーション・モジュール(SAM)を内蔵したSAM内蔵装置など,耐タンパ性装置であれば,本発明を以下で説明するICカードの場合と同様に適用することができる。
【0031】
〔第1の実施の形態〕
図1は,ICカード所有者によってICカード3の利用意思を受けたサービス提供装置2が,そのICカード3に対するカスタマイズサービスを行うときのフローを示したものである。本例は,認証装置1がICカード3の真正性とICカード3内に格納された情報であるICカードIDを,サービス提供装置2に通知し保証するICカードシステムの例である。
【0032】
ICカード所有者は,サービス提供装置2にICカード3を接続して,サービス提供装置2にICカードを利用したサービスを受ける意思を提示する(S11)。サービス提供装置2は,ICカード3の利用意思を受けると,認証装置1に対してICカード3の真正性を保証しICカード3のIDをサービス提供装置2に通知するICカード証明書を要求するICカード証明要求書を作成する(S12)。
【0033】
図2に,ICカード証明要求書の例を示す。ここで,ICカード証明要求書には,サービス提供主体名とICカード証明要求書番号とICカード証明要求書の作成日時とサービス提供装置2のネットワークアドレスが記述される。サービス提供主体名は,ICカード証明要求を認証装置1に要求する主体を示す効果がある。また,ICカード証明要求書番号をサービス提供主体によって一度だけ用いられる識別子とすることで,ICカード証明要求書番号とICカード証明要求書の作成日時は,ICカード証明要求書を特定する効果がある。上記ネットワークアドレスは,サービス提供装置2のネットワーク上の場所を通知する効果がある。
【0034】
サービス提供装置2は,ICカード証明要求書に対してサービス提供主体のみが知り得る情報を用いて電子署名を付加し(S13),認証装置1にネットワークを介してICカード証明要求書を送信する(S14)。
【0035】
認証装置1は,サービス提供装置2からICカード証明要求書を受け取ると,ICカード証明要求書の署名をチェックし,ICカード証明要求書を作成したサービス提供主体とICカード証明要求書が偽造されていないことを確認する(S15)。次に認証装置1は,ICカード証明要求書を記録し保存する(S16)。記録されたICカード証明要求書は,事後トラブルや認証装置1がICカード証明要求書を受けたことを示す証拠として利用できる効果がある。
【0036】
次に認識装置1は,ICカード証明要求書に記述されたネットワークアドレスをもとに,ICカード3とネットワークを介して相互認証を行う(S17,S18)。この相互認証は,チャレンジレスポンス方式で行い,ICカード3と認証装置1以外の例えばサービス提供装置2などでは解読することや模倣することができない方式を利用する。
【0037】
相互認証が成功すると,認証装置1は,ICカード3に対してICカードIDを送信するよう要求する(S19)。この要求に対して,ICカード3は,ICカード3内に格納された情報であるICカードIDをICカード3と認証装置1のみが知り得る情報で暗号化し(S20),認証装置1にネットワークを介して通知する(S21)。ここでICカード3は,認証装置1との相互認証が成功し,認証装置1を認証済みの場合にのみ上記ICカードIDの送信を行う。認証装置1は,ICカード3から暗号化されたICカードIDを受け取ると,暗号化されたICカードIDを解読する(S22)。この暗号化の効果として,ICカード3と認証装置1以外の例えばサービス提供装置2などではICカードIDを直接理解できないようにして,ICカードの悪用を防ぐことが挙げられる。
【0038】
次に認証装置1は,ICカード証明書を作成する(S23)。図3に,ICカード証明書の例を示す。ICカード証明書には,ICカード証明書番号と,該ICカード証明書と対応するICカード証明要求書番号と,ICカードを認証した日時と,ICカードIDと,ICカード証明書を発行する先のサービス提供主体名とが記述される。
【0039】
ICカード証明書は,ICカードの真正性とICカードに格納された情報を保証する効果があり,ICカード証明書番号は,発行されたICカード証明書の唯一性を示す効果があり,ICカード証明要求書番号は,ICカード証明書とサービス提供装置2が要求したICカード証明要求書との対応をとる効果があり,ICカードを認証した日時は,ネットワークを介することなどによって生じたICカード証明要求書作成から実際のICカード認証までの時間差を示す効果があり,ICカードIDは,ICカード3に格納された情報となる効果があり,ICカード証明書を発行する先のサービス提供主体名は,認証装置1がICカード3の真正性とICカード3に格納された情報を保証する相手の主体を示す効果がある。
【0040】
次に認証装置1は,認証装置1のみが知り得る情報を用いてICカード証明書に電子署名を付加し(S24)。サービス提供装置2に送信する(S25)。サービス提供装置2は,ICカード証明書を受け取ると,ICカード証明書の署名をチェックし,ICカード証明書を作成したのが認証装置1であることを確認する(S26)。次にサービス認証装置2は,ICカード証明書からICカードのID番号(ICカードID)を取り出し(S27),ICカードのID番号に対するカスタマイズサービスを行う(S28)。サービス提供装置2は,ICカード証明書を記録し保存する(S29)。記録されたICカード証明書は,事後トラブル時の証書として利用できる効果がある。
【0041】
この場合のカスタマイズサービスとは,例えばサービス提供主体はサービス提供装置2としてキヨスク端末を用意し,キヨスク端末にそれぞれのICカード3に対応する情報や広告の画面を表示し,ICカード所有者の好みに合った情報を提供するサービスであるとか,あるいはサービス提供装置2としてPoint of Sales(POS)端末装置であるレジを利用し,ICカード3を持った顧客の過去の購入履歴をレジ店員が確認できるようにし,その購入履歴からそれぞれの顧客に対してお勧めの商品を推薦するなどが挙げられる。
【0042】
図1に示すフローによれば,サービス提供装置2は,認証装置1の命令を受けてICカード3を操作することはあっても,サービス提供装置2が主体となってICカード3を操作することはなく,サービス提供主体がICカードを管理する必要はない。
【0043】
ICカードは一旦配布してしまうと多地点にわかれ,ある地点でICカードに悪意が働いてもわからなく,ICカードに関わる秘密情報の管理が難しいという特徴を持つが,本方式では,この管理の大変なICカードに関わる秘密情報(ICカード認証鍵,ICカード格納情報への参照鍵など)の全部または一部を認証主体が管理し,サービス提供主体には証明書という手段でICカードに関する情報を通信する。
【0044】
その効果としては,サービス提供主体は,この秘密情報の全部または一部を取り扱うための労力やコストが必要なく,ICカード証明書に記載されたICカードIDを利用したサービス自体に従事できることである。また,サービス提供装置は認証装置とネットワークを介して通信できれば,それを管理する主体は,ICカードや認証装置を提供する主体と別の主体でよく,複数のサービス提供主体はICカードと認証装置を提供する少なくとも一つの主体が発行する複数のICカードを共用することができる。
【0045】
この結果から明らかなように,ICカードと認証装置とサービス提供装置とを一つの主体が発行する従来の技術に比べて,多数のサービス提供主体が同一のICカードで,それぞれ他のサービス提供主体に影響されることなく自由にサービスを構築,追加,拡張することが可能になる。
【0046】
また,本方式によると,ICカードの発行は認証主体が行うが,ICカードを利用者に配布することは複数のサービス提供主体が自由に行うことができる。ICカードの秘密情報の管理を認証主体が行う本方式では,他主体が配布したICカードを利用してサービスを行うことも可能となり,配布の労力やコストを削減できる。
【0047】
認証装置は,ICカードの利用状況をICカード認証時に把握できるため,ICカード利用に応じてサービス提供主体から手数料を徴収するなどの認証装置がサービス提供主体に対して行う課金やサービスも容易である。
【0048】
〔第2の実施の形態〕
図4は,本発明が適用される基本的なシステムの一例を示したものである。本例は,認証装置がICカードの真正性とICカード内に格納された情報であるICカードIDをサービス提供装置に通知し保証するICカードシステムの構成例である。
【0049】
認証装置1は,サービス提供装置2とネットワーク9を介して通信を行うサービス提供装置通信部11と,ICカード証明要求書を受け付けICカード証明要求書のサービス提供主体の署名を確認しICカード3と相互認証を行うICカード認証部12と,ICカード3と相互認証およびICカードIDの通信を行うための暗号鍵を管理するICカード管理データベース(ICカード管理DB)13と,サービス提供主体の署名を確認するためにサービス提供主体の公開鍵データを管理するサービス提供主体管理データベース(サービス提供主体管理DB)14と,ICカード証明要求書を記録し保存するICカード証明要求記録部15と,ICカード証明書を作成するICカード証明書作成部16と,ICカード証明書に認証装置1を管理する認証主体のみが知り得る秘密鍵を用いて署名を施す認証主体署名部17とを備えて構成される。
【0050】
サービス提供装置2は,認証装置1とネットワーク9を介して通信を行う認証装置通信部21と,ICカード3と通信を行うICカード通信部22と,ICカード証明要求書を作成するICカード証明要求部23と,ICカード証明要求書にサービス提供主体のみが知り得る秘密鍵を用いて署名を施すサービス提供主体署名部24と,ICカード証明書を受け付け認証主体の署名を確認し,ICカード所有者に対して所有するICカード3に対応したサービスを行うサービス提供部25と,ICカード証明書を記録し保存するICカード証明記録部26と,ICカード所有者からのICカード利用意思を受け付けるICカード利用意思受付部27とを備えて構成される。
【0051】
ICカード3は,サービス提供装置2と通信を行うサービス提供装置通信部31と,認証装置1と相互認証を行う認証装置認証部32と,それぞれのICカードに固有の番号(ICカードID)を持つICカードID保持部33と,前記ICカードIDの暗号化を行うICカードID暗号化部34とを備えて構成される。
【0052】
認証装置1におけるサービス提供装置通信部11は,ICカード認証部12およびICカード証明書作成部16と,ネットワーク9を介したサービス提供装置2との通信を中継する。ICカード認証部12は,ICカード管理DB13とサービス提供主体管理DB14とICカード証明要求記録部15とICカード証明書作成部16と通信する。ICカード証明書作成部16は,上記通信の他に認証主体署名部17と通信する。
【0053】
サービス提供装置2の認証装置通信部21は,ICカード証明要求部23とサービス提供部25とICカード通信部22と認証装置1とのネットワーク9を介した通信を中継する。ICカード通信部22は,ICカード3との通信を行い,必要ならば認証装置通信部21を介して認証装置1とICカード3との通信を中継する。ICカード証明要求部23は,認証装置通信部21とサービス提供主体署名部24とICカード利用意思受付部27と通信する。サービス提供部25は,認証装置通信部21とICカード証明書記録部26と通信を行う。
【0054】
ICカード3におけるサービス提供装置通信部31は,認証装置認証部32およびICカードID保持部33と,サービス提供装置2との通信を中継する。ICカードID保持部33は,ICカードID暗号化部34とサービス提供装置通信部31と通信する。
【0055】
次に,本システムの動作を説明する。まず,ICカード所有者からICカード3の利用意思の通知をICカード利用意思受付部27が受けると,その利用意思はICカード証明要求部23に伝えられる。これによって,ICカード証明要求部23は,サービス提供主体名とICカード証明要求書番号とICカード証明要求書の作成日時とサービス提供装置2のネットワークアドレスとを記述したICカード証明要求書を作成する。ここでサービス提供主体名は,ICカード証明要求を認証装置1に要求する主体を示す効果がある。また,ICカード証明要求書番号をサービス提供主体によって一度だけ用いられる識別子とすることで,このICカード証明要求書番号とICカード証明要求書の作成日時とは,ICカード証明要求書を特定する効果がある。上記ネットワークアドレスは,サービス提供装置2のネットワーク上の場所を通知する効果がある。
【0056】
次にICカード証明要求部23は,ICカード証明要求書をサービス提供主体署名部24に送信し,サービス提供主体署名部24は,サービス提供主体の署名をICカード証明要求書に付加し改ざんと成りすましを防止すると,ICカード証明要求部23にICカード証明要求書を返す。ICカード証明要求部23は,認証装置通信部21とサービス提供装置通信部11を介して,ICカード認証部12に送信する。
【0057】
ICカード認証部12は,サービス提供主体管理DB14で管理している公開鍵を用いてICカード証明要求書の署名のサービス提供主体を確認すると,ICカード要求証明書をICカード証明要求記録部15に送信する。ICカード証明要求記録部15は,ICカード証明要求書を記録する。この記録は,証拠としての機能を持つ。
【0058】
次にICカード認証部12は,ICカード証明要求書に記述されたサービス提供装置2のネットワークアドレスをもとに,サービス提供装置通信部11と認証装置通信部21とICカード通信部22とサービス提供装置通信部31とを介して,ICカード3の認証装置認証部32と相互認証を行う。この相互認証は,チャレンジレスポンス方式に代表されるように,認証を行う相互間の通信路での盗聴や成りすましから保護されるものであることが望ましい。上記相互認証が成立すると,ICカード認証部12は,サービス提供装置通信部11と認証装置通信部21とICカード通信部22とサービス提供装置通信部31とを介して,ICカードID保持部33に対してICカードIDを通知するよう要求する。
【0059】
ICカードID保持部33は,それぞれのICカードに固有のICカードIDをICカードID暗号化部34により暗号化した後,サービス提供装置通信部31とICカード通信部22と認証装置通信部21とサービス提供装置通信部11とを介して,ICカード認証部12に暗号化されたIDを送信する。この暗号化により,ICカードIDをICカード3と認証装置1以外では解読できないようにする効果が得られる。
【0060】
ICカード認証部12は,暗号化されたICカードIDをICカード管理DB13で管理している情報により解読する。ICカード認証部12は,解読されたICカードIDをICカード証明書作成部16に送信する。ICカードIDを受け取ったICカード証明書作成部16は,ICカード証明書番号と,対応するICカード証明要求書番号と,ICカードを認証した日時と,ICカードIDと,ICカード証明書を発行する先のサービス提供主体名とを記述したICカード証明書を作成する。
【0061】
このICカード証明書は,ICカードの真正性とICカードに格納されたICカードIDを保証する効果があり,ICカード証明書番号は,発行されたICカード証明書の唯一性を示す効果があり,ICカード証明要求書番号は,ICカード証明書とサービス提供装置2が要求したICカード証明要求書との対応をとる効果があり,ICカードを認証した日時は,ネットワークを介することなどによって生じたICカード証明要求書作成から実際のICカード認証までの時間差を示す効果があり,ICカードIDは,ICカードに格納された情報となる効果があり,ICカード証明書を発行する先のサービス提供主体名は,認証装置1がICカードの真正性とICカードに格納された情報を保証する相手の主体を示す効果がある。
【0062】
認証主体署名部17は,作成されたICカード証明書に認証装置1のみが知り得る秘密鍵を用いて電子署名を付加し,サービス提供装置通信部11を介して,サービス提供部25に送信する。
【0063】
サービス提供部25は,ICカード証明書の署名を認証主体の公開鍵で確認すると,ICカード証明書からICカードIDを取り出し,そのICカードIDに対応したサービスを行う。次にサービス提供部25は,ICカード証明書記録部26にICカード証明書を送信し,ICカード証明書記録部26は,ICカード証明書を記録,保存する。この記録は,証拠としての機能を持つ。
【0064】
図4に示すシステムによれば,ICカード3のアクセスは,認証装置1のICカード認証部12が行い,サービス提供装置2は,認証装置通信部21とICカード通信部22とがICカードの相互認証やICカードのIDの通信を行うための情報を中継するだけでよい。
【0065】
ICカードは一旦配布してしまうと多地点にわかれ,ある地点でICカードに悪意が働いてもわからなく,ICカードに関わる秘密情報の管理が難しいという特徴を持つが,本方式では,この管理の大変なICカードに関わる秘密情報(ICカード認証鍵,ICカード格納情報への参照鍵など)の全部または一部を認証主体が管理し,サービス提供主体には証明書という手段でICカードに関する情報を通信する。
【0066】
その効果としては,サービス提供主体は,この秘密情報の全部または一部を取り扱うための労力やコストが必要なく,ICカード証明書に記載されたICカードIDを利用したサービス自体に従事できることである。また,サービス提供装置は認証装置とネットワークを介して通信できれば,それを管理する主体は,ICカードや認証装置を提供する主体と別の主体でよく,複数のサービス提供主体はICカードと認証装置を提供する少なくとも一つの主体が発行する複数のICカードを共用することができる。
【0067】
この結果から明らかなように,ICカードと認証装置とサービス提供装置とを一つの主体が発行する従来の技術に比べて,多数のサービス提供主体が同一のICカードで,それぞれ他のサービス提供主体に影響されることなく自由にサービスを構築,追加,拡張することが可能になる。
【0068】
また,本方式によると,ICカードの発行は認証主体が行うが,ICカードを利用者に配布することは複数のサービス提供主体が自由に行うことができる。ICカードの秘密情報の管理を認証主体が行う本方式では,他主体が配布したICカードを利用してサービスを行うことも可能となり,配布の労力やコストを削減できる。
【0069】
認証装置は,ICカードの利用状況をICカード認証時に把握できるため,ICカード利用に応じてサービス提供主体から手数料を徴収するなどの認証装置がサービス提供主体に対して行う課金やサービスも容易である。
【0070】
〔第3の実施の形態〕
図5は,ICカード所有者によってICカード3の利用意思を受けたサービス提供装置2が,そのICカードに対するカスタマイズサービスを行うときのフローを示したものである。本例は,認証装置1が,ICカード3の真正性をサービス提供装置2に通知し保証するICカードシステムの例である。
【0071】
ICカード所有者は,サービス提供装置2にICカード3を接続して,ICカード3を利用したサービスを受ける意思を提示する(S31)。サービス提供装置2は,ICカード3の利用意思を受けると,認証装置1に対してICカード3の真正性を保証するICカード証明書を要求するICカード証明要求書を作成する(S32)。
【0072】
ここで,ICカード証明要求書には,サービス提供主体名と,ICカード証明要求書番号と,該ICカード証明要求書の作成日時と,サービス提供装置2のネットワークアドレスとが記述される。このサービス提供主体名は,ICカード証明要求を認証装置1に要求する主体を示す効果がある。また,ICカード証明要求書番号をサービス提供主体によって一度だけ用いられる識別子とすることで,ICカード証明要求書番号とICカード証明要求書の作成日時は,ICカード証明要求書を特定する効果がある。上記ネットワークアドレスは,サービス提供装置2のネットワーク上の場所を通知する効果がある。
【0073】
サービス提供装置2は,ICカード証明要求書に対してサービス提供主体のみが知り得る情報を用いて電子署名を付加し(S33),認証装置1にネットワークを介してICカード証明要求書を送信する(S34)。
【0074】
認証装置1は,サービス提供装置2からICカード証明要求書を受け取ると,ICカード証明要求書の署名をチェックし,ICカード証明要求書を作成したサービス提供主体とICカード証明要求書が偽造されていないことを確認する(S35)。次に認証装置1は,ICカード証明要求書を記録し保存する(S36)。記録されたICカード証明要求書は,事後トラブルやサービス提供を行ったことを示す証拠として利用できる効果がある。
【0075】
次に認証装置1は,ICカード証明要求書に記述されたネットワークアドレスをもとに,ICカード3とネットワークを介して相互認証を行う(S37,S38)。この相互認証は,チャレンジレスポンス方式で行い,ICカード3と認証装置1以外の例えばサービス提供装置2などでは解読することや模倣することができない方式を利用する。
【0076】
次に認証装置1は,ICカード証明書を作成する(S39)。ICカード証明書には,ICカード証明書番号と,該ICカード証明書と対応するICカード証明要求書番号と,ICカードを認証した日時と,ICカード証明書を発行する先のサービス提供主体名とが記述される。
【0077】
次に認証装置1は,認証装置1のみが知り得る情報を用いてICカード証明書に電子署名を付加し(S40),サービス提供装置2に送信する(S41)。このICカード証明書は,ICカードの真正性を保証する効果があり,ICカード証明書番号は,発行されたICカード証明書の唯一性を示す効果があり,ICカード証明要求書番号は,ICカード証明書とサービス提供装置2が要求したICカード証明要求書との対応をとる効果があり,ICカードを認証した日時は,ネットワークを介することなどによって生じたICカード証明要求書作成から実際のICカード認証までの時間差を示す効果があり,ICカード証明書を発行する先のサービス提供主体名は,認証装置1がICカードの真正性とICカードに格納された情報を保証する相手の主体を示す効果がある。
【0078】
サービス提供装置2は,ICカード証明書を受け取ると,ICカード証明書の署名をチェックし,ICカード証明書を作成したのが認証装置1であることを確認する(S42)。次にサービス提供装置2は,ICカード3に対してICカードIDを通知するよう要求する(S43)。ICカード3は,この要求を受けてICカードIDをサービス提供装置2に通知する(S44)。
【0079】
ICカードIDの通知を受けたサービス提供装置2は,ICカードのID番号に対するカスタマイズサービスを行う(S45)。サービス提供装置2は,ICカード証明書を記録し保存する(S46)。記録されたICカード証明書は,事後トラブル時の証書として利用できる効果がある。また,この場合のカスタマイズサービスとは,例えばサービス提供主体はサービス提供装置としてキヨスク端末を用意し,キヨスク端末にそれぞれのICカードに対応する情報や広告の画面を表示し,ICカード所有者の好みに合った情報を提供するサービスであるとか,あるいはサービス提供装置としてPoint Of Sales(POS)端末装置であるレジを利用し,ICカードを持った顧客の過去の購入履歴をレジ店員が確認できるようにし,その購入履歴からそれぞれの顧客に対してお勧めの商品を推薦するなどが挙げられる。
【0080】
図5に示すフローによれば,以下の効果が考えられる。ICカードは一旦配布してしまうと多地点にわかれ,ある地点でICカードに悪意が働いてもわからなく,ICカードに関わる秘密情報の管理が難しいという特徴を持つが,本方式では,この管理の大変なICカードに関わる秘密情報(ICカード認証鍵)を認証主体が管理し,サービス提供主体には証明書という手段でICカードの真正性を通知する。
【0081】
その効果としては,サービス提供主体は,このICカード認証鍵を取り扱うための労力やコストが必要なく,ICカード証明書に記載されたICカードIDを利用したサービス自体に従事できることである。また,サービス提供装置が認証装置とネットワークを介して通信できれば,ICカードや認証装置を提供する主体と別の主体でICカードの真正性を判断することができ,ICカード格納データ領域を分割することなどで,複数のサービス提供主体はICカードと認証装置を提供する少なくとも一つの主体が発行する複数のICカードを共用することができる。
【0082】
また,本方式によると,ICカードの発行は認証主体が行うが,ICカードを利用者に配布することは複数のサービス提供主体が自由に行うことができる。ICカードの秘密情報の管理を認証主体が行う本方式では,他主体が配布したICカードを利用してサービスを行うことも可能となり,配布の労力やコストを削減できる。
【0083】
認証装置は,ICカードの利用状況をICカード認証時に把握できるため,ICカード利用に応じてサービス提供主体から手数料を徴収するなどの認証装置がサービス提供主体に対して行う課金やサービスも容易である。
【0084】
この第3の実施の形態においては,サービス提供装置2が認証装置1からICカード証明書を受け取った後,ICカード3にICカードIDを要求し,ICカード3から直接ICカードIDの通知を受け取っている。
【0085】
この実施の形態の変形例として,例えば図5に示すステップS42の後,サービス提供装置2が直接ICカード3に対してICカード3内に格納されている情報の要求を行うのではなく,ステップS32におけるICカード証明要求書の作成と同様に,ICカードの内容証明要求書を作成し,これを認証装置1へ送信し,認証装置1がネットワークおよびサービス提供装置2を介して,ICカード3内の暗号化されたデータを入手し,それをもとにICカードの内容証明書を作成し,サービス提供装置2に送信することにより,サービス提供装置2がICカードの内容証明書からICカードに格納された情報を取得するように構成することも可能である。
【0086】
〔第4の実施の形態〕
図6は,ICカード所有者8によってICカード6の利用意思を受けたICカード接続装置7がICカードに対するカスタマイズサービスを実際に行うサービス提供装置5を指定し,実際にサービスを行うサービス提供装置5がサービスを行うときのフローを示したものである。第1の実施の形態との違いは,ICカード6を受け取るICカード接続装置7と実際にサービスを行うサービス提供装置5がネットワーク的に異なる場所にあるということである。本例は,ポイントサービスを行うポイントサーバを実際にサービスを行うサービス提供装置5として立ち上げて,このポイントサーバとネットワーク的に異なる場所にあるICカード接続装置7に接続されたICカード6に対応するポイントサービスを該ポイントサーバが行うような場合のICカードシステムの例である。
【0087】
ICカード所有者8は,ICカード接続装置7にICカード6を接続してICカード接続装置7にICカード6を利用したサービスを受ける意思を提示する(S51)。ICカード接続装置7は,ICカード6の利用意思を受けると,認証装置4に対してICカード6の真正性を保証しICカード6のIDを実際にサービスを行うサービス提供装置5に通知するICカード証明書を要求するICカード証明要求書を作成する(S52)。ここで,ICカード証明要求書には,ICカード接続装置提供主体名と,サービス提供主体名と,ICカード証明要求書番号と,ICカード証明要求書の作成日時と,ICカード6が接続されたICカード接続装置7のネットワークアドレスと,実際にサービスを行うサービス提供装置5のネットワークアドレスとが記述される。
【0088】
ICカード証明要求書中のICカード接続装置提供主体名は,ICカード証明要求を認証装置4に要求する主体を示す効果がある。サービス提供主体名は,実際にサービスを提供する主体を示す効果がある。また,ICカード証明要求書番号をサービス提供主体によって一度だけ用いられる識別子とすることで,ICカード証明要求書番号とICカード証明要求書の作成日時は,ICカード証明要求書を特定する効果がある。上記ICカードが接続されたICカード接続装置7のネットワークアドレスは,ICカード接続装置7のネットワーク上の場所を特定する効果があり,前記実際にサービスを行うサービス提供装置5のネットワークアドレスは,実際にサービスを行うサービス提供装置5のネットワーク上の場所を特定する効果がある。
【0089】
ICカード接続装置7は,ICカード証明要求書に対してサービス提供主体のみが知り得る情報を用いて電子署名を付加し(S53),認証装置4にネットワークを介してICカード証明要求書を送信する(S54)。
【0090】
認証装置4は,ICカード接続装置7からICカード証明要求書を受け取ると,ICカード証明要求書の署名をチェックし,ICカード証明要求書を作成したサービス提供主体とICカード証明要求書が偽造されていないことを確認する(S55)。次に認証装置4は,ICカード証明要求書を記録し保存する(S56)。記録されたICカード証明要求書は,事後トラブルやサービス提供を行ったことを示す証拠として利用できる効果がある。
【0091】
次に認証装置4は,ICカード証明要求書に記述されたICカード6が接続されたICカード接続装置7のネットワークアドレスをもとにICカード6とネットワークを介して相互認証を行う(S57,S58)。この相互認証は,チャレンジレスポンス方式で行い,ICカード6と認証装置4以外の例えばサービス提供装置5などでは解読することや模倣することができない方式を利用することが望ましい。相互認証が成功すると,認証装置4は,ICカード6に対してICカードIDを送信するよう要求する(S59)。
【0092】
この要求に対し,ICカード6は,ICカード6内に格納された情報であるICカードID番号をICカード6と認証装置4のみが知り得る情報で暗号化し(S60),認証装置4にネットワークを介して通知する(S61)。
【0093】
認証装置4は,ICカード6から暗号化されたICカードIDを受け取ると,暗号化されたICカードIDを解読する(S62)。この暗号化の効果は,ICカード6と認証装置4以外の例えばサービス提供装置5やICカード接続装置7などではICカードIDを直接理解できないようにして,ICカード6の悪用を防ぐことが挙げられる。次に認証装置4は,ICカード所有者8に対して,ICカード6が接続されたICカード接続装置7を介して個人認証番号であるPINを要求し(S63),ICカード所有者8は,PINを認証装置4に返す(S64)。
【0094】
次に認証装置4は,ICカード証明書を作成する(S65)。ICカード証明書には,ICカード証明書番号と,該ICカード証明書と対応するICカード証明要求書番号と,ICカードを認証した日時と,カードIDと,ICカード証明書を発行する先のサービス提供主体名とが記述される。
【0095】
次に認証装置4は,認証装置4のみが知り得る情報を用いてICカード証明書に電子署名を付加し(S66),実際にサービスを行うサービス提供装置5に送信する(S67)。このICカード証明書は,ICカードの真正性とICカードに格納された情報を実際にサービスを行うサービス提供主体に保証する効果があり,ICカード証明書番号は,発行されたICカード証明書の唯一性を示す効果があり,ICカード証明要求書番号は,ICカード証明書とICカード接続装置7が要求したICカード証明要求書との対応をとる効果があり,ICカードを認証した日時は,ネットワークを介することなどによって生じたICカード証明要求書作成から実際のICカード認証までの時間差を示す効果があり,ICカードIDは,ICカード6に格納された情報となる効果があり,ICカード証明書を発行する先のサービス提供主体名は,認証装置4がICカード6の真正性とICカード6に格納された情報を保証する相手主体を示す効果がある。
【0096】
実際にサービスを行うサービス提供装置5は,ICカード証明書を受け取ると,ICカード証明書の署名をチェックし,ICカード証明書を作成したのが認証装置4であることを確認する(S68)。次に実際にサービスを行うサービス提供装置5は,ICカード証明書からICカードのID番号を取り出し(S69),ICカードのID番号に対するポイントサービスを行う(S70)。また,実際にサービスを行うサービス提供装置5は,ICカード証明書を記録し保存する(S71)。記録されたICカード証明書は,事後トラブル時の証書として利用できる効果がある。
【0097】
図6に示すフローによれば,ICカード6が接続されたICカード接続装置7と実際にサービスを行うサービス提供装置5は,ネットワーク的に離れていてもよく,ICカード6が接続されるICカード接続装置7は複数あり,実際にサービスを行うサービス提供装置5は少なくとも1台あるというシステムを構築できる。また,ICカード接続装置7は,認証装置4の命令を受けてICカード6を操作することはあっても,サービス提供装置5が主体となってICカード6を操作することはない。
【0098】
ICカードは一旦配布してしまうと多地点にわかれ,ある地点でICカードに悪意が働いてもわからなく,ICカードに関わる秘密情報の管理が難しいという特徴を持つが,本方式では,この管理の大変なICカードに関わる秘密情報(ICカード認証鍵,ICカード格納情報への参照鍵など)の全部または一部を認証主体が管理し,サービス提供主体には証明書という手段でICカードに関する情報を通信する。
【0099】
その効果としては,ICカード接続装置提供主体およびサービス提供主体は,この秘密情報の全部または一部を取り扱うための労力やコストが必要なく,ICカード証明書に記載されたICカードIDを利用したサービス自体に従事できることである。また,サービス提供装置およびICカード接続装置は認証装置とネットワークを介して通信できれば,それを管理する主体は,ICカードや認証装置を提供する主体と別の主体でよく,複数のサービス提供主体はICカードと認証装置を提供する少なくとも一つの主体が発行する複数のICカードを共用することができる。
【0100】
この結果から明らかなように,ICカードと認証装置とサービス提供装置およびICカード接続装置とを一つの主体が発行する従来の技術に比べて,多数のサービス提供主体が同一のICカードで,それぞれ他のサービス提供主体に影響されることなく自由にサービスを構築,追加,拡張することが可能になる。
【0101】
また,本方式によると,ICカードの発行は認証主体が行うが,ICカードを利用者に配布することは複数のサービス提供主体が自由に行うことができる。ICカードの秘密情報の管理を認証主体が行う本方式では,他主体が配布したICカードを利用してサービスを行うことも可能となり,配布の労力やコストを削減できる。
【0102】
認証装置は,ICカードの利用状況をICカード認証時に把握できるため,ICカード利用に応じてサービス提供主体から手数料を徴収するなどの認証装置がサービス提供主体に対して行う課金やサービスも容易である。
【0103】
また,ICカードが接続されたICカード接続装置を運用するサービス提供主体と実際にサービスを行うサービス提供装置を運用するサービス提供主体が同じである場合およびその他の上述の実施の形態の変形例は,本発明の技術的範囲内にあることは明白である。
【0104】
〔第5の実施の形態〕
図7は,本発明が適用される基本的なシステムの一例を示したものである。本例は,ICカード所有者が,ICカード6を接続したICカード接続装置7からのICカード証明要求書を認証装置4が受け,認証装置4は,ICカード6の真正性とICカード6内に格納された情報であるICカードIDを実際にサービスを行うサービス提供装置5に通知し保証するICカードシステムの例である。
【0105】
認証装置4は,サービス提供装置5およびICカード接続装置7とネットワーク9を介して通信を行う外部通信部41と,ICカード証明要求書を受け付けICカード証明要求書のICカード接続装置提供主体の署名を確認しICカード6との相互認証を行うICカード認証部42と,ICカード6と相互認証およびICカードIDの通信を行うための暗号鍵を管理するICカード管理データベース(ICカード管理DB)43と,ICカード接続装置提供主体の署名を確認するためにICカード接続装置提供主体の公開鍵データを管理するICカード接続装置提供主体管理データベース(ICカード接続装置提供主体管理DB)44と,ICカード証明要求書を記録し保存するICカード証明要求記録部45と,ICカード証明書を作成するICカード証明書作成部46と,ICカード証明書に認証装置4を管理する認証主体のみが知り得る秘密鍵を用いて署名を施す認証主体署名部47とを備えて構成される。
【0106】
サービス提供装置5は,認証装置4とネットワーク9を介して通信を行う認証装置通信部51と,ICカード証明書を受け付け認証主体の署名を確認し,ICカード所有者に対して所有するICカードに対応したサービスを行うサービス提供部52とICカード証明書を記録し保存するICカード証明書記録部53とを備えて構成される。
【0107】
ICカード接続装置7は,認証装置4とネットワーク9を介して通信を行う認証装置通信部71と,ICカード6と通信を行うICカード通信部72と,ICカード証明要求書を作成するICカード証明要求部73と,ICカード証明要求書にICカード接続装置提供主体のみが知り得る秘密鍵を用いて署名を施すICカード接続装置提供主体署名部74と,ICカード所有者からのICカード利用意思を受け付けるICカード利用意思受付部75とを備えて構成される。
【0108】
ICカード6は,ICカード接続装置7と通信を行うICカード接続装置通信部61と,認証装置4と相互認証を行う認証装置認証部62と,それぞれのICカードに固有の番号(ICカードID)を持つICカードID保持部63と,前記IDの暗号化を行うICカードID暗号化部64とを備えて構成される。
【0109】
認証装置4の外部通信部41は,ICカード認証部42とネットワーク9を介したICカード接続装置7との通信,およびICカード証明書作成部46とネットワーク9を介したサービス提供装置5との通信を中継する。ICカード認証部42は,ICカード管理DB43とICカード接続装置提供主体管理DB44とICカード証明要求記録部45とICカード証明書作成部46と通信する。ICカード証明書作成部46は,上記通信の他に認証主体署名部47と通信する。
【0110】
認証装置通信部71は,ICカード証明要求部73とICカード通信部72と認証装置4とのネットワーク9を介した通信を中継する。ICカード通信部72は,ICカード6との通信を行い,必要ならば認証装置通信部71を介して認証装置4とICカード6との通信を中継する。ICカード証明要求部73は,認証装置通信部71とICカード接続装置提供主体署名部74とICカード利用意思受付部75と通信する。
【0111】
認証装置通信部51は,サービス提供部52と認証装置4とのネットワーク9を介した通信を中継する。サービス提供部52は,認証装置通信部51とICカード証明書記録部53と通信を行う。
【0112】
ICカード6中のICカード接続装置通信部61は,認証装置認証部62とICカードID保持部63とICカード接続装置7との通信を中継する。ICカードID保持部63は,ICカードID暗号化部64とICカード接続装置通信部61と通信する。
【0113】
次に本システムの動作を説明する。まず,ICカード所有者からICカード6の利用意思の通知をICカード利用意思受付部75が受けると,この利用意思は,ICカード証明要求部73に伝えられる。次にICカード証明要求部73は,ICカード証明要求書を作成する。ここで,ICカード証明要求書には,ICカード接続装置提供主体名と,サービス提供主体名と,ICカード証明要求書番号と,ICカード証明要求書の作成日時と,ICカード6が接続されたICカード接続装置7のネットワークアドレスと,実際にサービスを行うサービス提供装置5のネットワークアドレスとが記述される。
【0114】
ICカード接続装置提供主体名は,ICカード証明要求を認証装置4に要求する主体を示す効果がある。サービス提供主体名は,実際にサービスを提供する主体を示す効果がある。また,ICカード証明要求書番号をサービス提供主体によって一度だけ用いられる識別子とすることで,ICカード証明要求書番号とICカード証明要求書の作成日時は,ICカード証明要求書を特定する効果がある。上記ICカードが接続されたICカード接続装置7のネットワークアドレスは,ICカード接続装置7のネットワーク上の場所を特定する効果があり,前記実際にサービスを行うサービス提供装置5のネットワークアドレスは,実際にサービスを行うサービス提供装置5のネットワーク上の場所を特定する効果がある。
【0115】
次にICカード証明要求部73は,ICカード証明要求書をICカード接続装置提供主体署名部74に送信し,ICカード接続装置提供主体署名部74は,ICカード接続装置提供主体の署名をICカード証明要求書に付加し改ざんと成りすましを防止すると,ICカード証明要求部73にICカード証明要求書を返す。ICカード証明要求部73は,認証装置通信部71と外部通信部41を介してICカード認証部42に送信する。
【0116】
ICカード認証部42は,ICカード接続装置提供主体管理DB44で管理している公開鍵を用いてICカード証明要求書の署名のICカード接続装置提供主体を確認すると,ICカード要求証明書をICカード証明要求記録部45に送信する。ICカード証明要求記録部45は,ICカード証明要求書を記録し保存する。この記録は,証拠としての機能を持つ。
【0117】
次にICカード認証部42は,ICカード証明要求書に記述されたICカード接続装置7のネットワークアドレスをもとに,外部通信部41と認証装置通信部71とICカード通信部72とICカード接続装置通信部61とを介して,認証装置認証部62と相互認証を行う。この相互認証は,チャレンジレスポンス方式に代表されるように,認証を行う相互間の通信路での盗聴や成りすましから保護されるものであることが望ましい。
【0118】
上記相互認証が成立すると,ICカード認証部42は,外部通信部41と認証装置通信部71とICカード通信部72とICカード接続装置通信部61とを介して,ICカードID保持部63に対してICカードIDを通知するよう要求する。ICカードID保持部63は,それぞれのICカードに固有のICカードIDをICカードID暗号化部64により暗号化した後,ICカード接続装置通信部61とICカード通信部72と認証装置通信部71と外部通信部41とを介して,ICカード認証部42に暗号化されたIDを送信する。この暗号化により,ICカードIDをICカード6と認証装置4以外では解読できないようにする効果が得られる。
【0119】
ICカード認証部42は,暗号化されたICカードIDをICカード管理DB43で管理している情報により解読する。ICカード認証部42は,解読されたICカードIDをICカード証明書作成部46に送信する。ICカードIDを受け取ったICカード証明書作成部46は,ICカード証明書を作成する。このICカード証明書には,ICカード証明書番号と,ICカード証明書と対応するICカード証明要求書番号と,ICカードを認証した日時と,カードIDと,ICカード証明書を発行する先のサービス提供主体名とが記述される。
【0120】
このICカード証明書は,ICカードの真正性とICカードに格納された情報を実際にサービスを行うサービス提供主体に保証する効果があり,ICカード証明書番号は,発行されたICカード証明書の唯一性を示す効果があり,ICカード証明要求書番号は,ICカード証明書とICカード接続装置7が要求したICカード証明要求書との対応をとる効果があり,ICカードを認証した日時は,ネットワークを介することなどによって生じたICカード証明要求書作成から実際のICカード認証までの時間差を示す効果があり,ICカードIDは,ICカードに格納された情報となる効果があり,ICカード証明書を発行する先のサービス提供主体名は,認証装置4がICカードの真正性とICカードに格納された情報を保証する相手主体を示す効果がある。
【0121】
認証主体署名部47は,作成されたICカード証明書に認証装置4のみが知り得る秘密鍵を用いて電子署名を付加し,外部通信部41を介して,サービス提供部52に送信する。サービス提供部52は,ICカード証明書の署名を認証主体の公開鍵で確認すると,ICカード証明書からICカードIDを取り出し,そのICカードIDに対応したサービスを行う。
【0122】
次にサービス提供部52は,ICカード証明書記録部53にICカード証明書を送信し,ICカード証明書記録部53は,ICカード証明書を記録,保存する。この記録は,証拠としての機能を持つ。
【0123】
図7に示すシステムによれば,ICカード6のアクセスは,認証装置4のICカード認証部42が行い,ICカード接続装置7は,認証装置通信部71とICカード通信部72とがICカードの相互認証やICカードのIDの通信を行うための情報を中継するだけでよい。同様に,実際にサービスを提供するサービス提供装置5もICカード6と通信する必要なはい。
【0124】
ICカードは一旦配布してしまうと多地点にわかれ,ある地点でICカードに悪意が働いてもわからなく,ICカードに関わる秘密情報の管理が難しいという特徴を持つが,本方式では,この管理の大変なICカードに関わる秘密情報(ICカード認証鍵,ICカード格納情報への参照鍵など)の全部または一部を認証主体が管理し,サービス提供主体には証明書という手段でICカードに関する情報を通信する。
【0125】
その効果としては,ICカード接続装置提供主体およびサービス提供主体は,この秘密情報の全部または一部を取り扱うための労力やコストが必要なく,ICカード証明書に記載されたICカードIDを利用したサービス自体に従事できることである。また,サービス提供装置およびICカード接続装置は認証装置とネットワークを介して通信できれば,それを管理する主体は,ICカードや認証装置を提供する主体と別の主体でよく,複数のサービス提供主体はICカード6と認証装置を提供する少なくとも一つの主体が発行する複数のICカードを共用することができる。
【0126】
この結果から明らかなように,ICカードと認証装置とサービス提供装置およびICカード接続装置とを一つの主体が発行する従来の技術に比べて,多数のサービス提供主体が同一のICカードで,それぞれ他のサービス提供主体に影響されることなく自由にサービスを構築,追加,拡張することが可能になる。
【0127】
また,本方式によると,ICカードの発行は認証主体が行うが,ICカードを利用者に配布することは複数のサービス提供主体が自由に行うことができる。ICカードの秘密情報の管理を認証主体が行う本方式では,他主体が配布したICカードを利用してサービスを行うことも可能であることは自明であり,配布の労力やコストを削減できる。
【0128】
認証装置は,ICカードの利用状況をICカード認証時に把握できるため,ICカード利用に応じてサービス提供主体から手数料を徴収するなどの認証装置がサービス提供主体に対して行う課金やサービスも容易である。
【0129】
以上説明した本発明の種々の実施の形態の特徴を列挙すると,以下のとおりである。
【0130】
(1)複数のICカードと複数のサービス提供装置と少なくとも一つの認証装置とで構成され,前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムによってサービス提供装置がサービスを行う方法であって,
ICカード所有者が前記ICカードのうち任意のICカードを接続した前記サービス提供装置は,該ICカードの真正性を該サービス提供装置に証明するように前記認証装置に対して要求するICカード証明要求を構成し,該ICカード証明要求をネットワークを通じて前記認証装置に送信し,
前記認証装置は,ネットワークを介して該サービス提供装置に接続されたICカードと相互に認証を行い,
前記認証装置は,該サービス提供装置に接続された該ICカードの真正性を該サービス提供装置に保証するICカード証明書を構成し,該ICカード証明書をネットワークを通じて該サービス提供装置に送信し,
該サービス提供装置は,該ICカード証明書の情報をもとに該サービス提供装置に提示された該ICカードに対応したサービスを行う段階からなるICカードサービス提供方法。
【0131】
(2)複数のICカードと少なくとも一つのICカード接続装置と少なくとも一つのサービス提供装置と少なくとも一つの認証装置とで構成され,前記ICカード接続装置と前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムによってサービス提供装置がサービスを行う方法であって,
ICカード所有者が前記ICカードのうち任意のICカードを接続した前記ICカード接続装置は,前記認証装置に対して実際にサービスを行う該サービス提供装置のネットワーク位置を特定する情報を通知し,該ICカードの真正性を実際にサービスを行うサービス提供装置に証明する要求を行うICカード証明要求を構成し,
ICカード所有者によってICカードが接続された該ICカード接続装置は,該ICカード証明要求をネットワークを通じて前記認証装置に送信し,
前記認証装置は,ネットワークを介して該ICカード接続装置に接続されたICカードと相互認証を行い,
前記認証装置は,該ICカード接続装置に接続された該ICカードの真正性を実際にサービスを提供する該サービス提供装置に保証するICカード証明書を構成し,
該ICカード証明書を実際にサービスを行う該サービス提供装置にネットワークを通じて送信し,
実際にサービスを行う該サービス提供装置は,該ICカード証明書の情報をもとに提示された該ICカードに対応したサービスを行う段階からなるICカードサービス提供方法。
【0132】
(3)上記(1)の方法でICカードの真正性を保証した後,必要ならば前記認証装置がICカードに格納された情報を保証する方法。すなわち,上記(1)の方法であって,前記サービス提供装置は,該ICカード内に格納されている情報を該サービス提供装置に証明するように前記認証装置に対して要求するICカード証明要求をさらに構成し,該ICカード証明要求をネットワークを通じて前記認証装置に送信し,
前記認証装置は,ネットワークを介して該サービス提供装置に接続された該ICカード内に格納されている情報を読み出し,
前記認証装置は,該サービス提供装置に接続された該ICカード内に格納されている情報を該サービス提供装置に保証するICカード証明書を構成し,該ICカード証明書をネットワークを通じて該サービス提供装置に送信し,
該サービス提供装置は,該ICカード証明書の情報をもとに該サービス提供装置に提示された該ICカードに対応したサービスを行う段階からなるICカードサービス提供方法。
【0133】
(4)上記(2)の方法でICカードの真正性を保証した後,必要ならば前記認証装置がICカードに格納された情報を保証する方法。すなわち,上記(2)の方法であって,前記ICカード接続装置は,該ICカード内に格納されている情報を該サービス提供装置に証明するように前記認証装置に対して要求するICカード証明要求をさらに構成し,
該ICカード証明要求をネットワークを通じて前記認証装置に送信し,
前記認証装置は,ネットワークを介して該ICカード接続装置に接続された該ICカード内に格納されている情報を読み出し,
前記認証装置は,該ICカード接続装置に接続された該ICカード内に格納されている情報を該サービス提供装置に保証するICカード証明書を構成し,
該ICカード証明書をネットワークを通じて該サービス提供装置に送信し,
該サービス提供装置は,該ICカード証明書の情報をもとに該サービス提供装置に提示された該ICカードに対応したサービスを行う段階からなるICカードサービス提供方法。
【0134】
(5)複数のICカードと複数のサービス提供装置と少なくとも一つの認証装置とで構成され,前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムによってサービス提供装置がサービスを行う方法であって,
ICカード所有者が任意のICカードを接続した前記サービス提供装置は,該ICカードの真正性と該ICカード内に格納されている情報を該サービス提供装置に証明するように前記認証装置に対して要求するICカード証明要求を構成し,該ICカード証明要求をネットワークを通じて前記認証装置に送信し,
前記認証装置は,ネットワークを介して該サービス提供装置に接続されたICカードと相互認証を行うとともに,該ICカード内に格納されている情報を読み出し,
前記認証装置は,該サービス提供装置に接続された該ICカードの真正性と該ICカード内に格納されている情報を該サービス提供装置に保証するICカード証明書を構成し,該ICカード証明書をネットワークを通じて該サービス提供装置に送信し,
該サービス提供装置は,該ICカード証明書の情報をもとに該サービス提供装置に提示された該ICカードに対応したサービスを行う段階からなるICカードサービス提供方法。
【0135】
(6)複数のICカードと複数のサービス提供装置と少なくとも一つの認証装置とを有し,前記サービス提供装置と前記認証装置がネットワークにより互いに接続されたICカードシステムであって,
ICカード所有者が前記ICカードのうち任意のICカードを接続した前記サービス提供装置は,前記認証装置に対して,該ICカードの真正性と該ICカード内に格納されている情報を該サービス提供装置に証明するように要求するICカード証明要求を構成し,該ICカード証明要求をネットワークを介して前記認証装置に送信する手段を持ち,
前記認証装置は,ネットワークを介して該サービス提供装置に接続されたICカードと相互認証を行うとともに,該ICカード内に格納されている情報を読み出す手段を持ち,
前記認証装置は,該サービス提供装置に接続された該ICカードの真正性と該ICカード内に格納されている情報を該サービス提供装置に保証するICカード証明書を構成し,該ICカード証明書をネットワークを介して該サービス提供装置に送信する手段を持ち,
該サービス提供装置は,該ICカード証明書の情報をもとに該サービス提供装置に提示された該ICカードに対応したサービスを行う手段を持つICカードサービスシステム。
【0136】
(7)複数のICカードと少なくとも一つのICカード接続装置と少なくとも一つのサービス提供装置と少なくとも一つの認証装置とを有し,前記ICカード接続装置と前記サービス提供装置と前記認証装置がネットワークにより互いに接続されたICカードシステムであって,
ICカード所有者が前記ICカードのうち任意のICカードを接続した前記ICカード接続装置は,前記認証装置に対して,該ICカードの真正性と該ICカード内に格納されている情報を実際にサービスを提供するサービス提供装置に証明するように要求するICカード証明要求を構成し,該ICカード証明要求をネットワークを介して前記認証装置に送信する手段を持ち,
前記認証装置は,ネットワークを介して該ICカード接続装置に接続されたICカードと相互認証を行うとともに,該ICカード内に格納されている情報を読み出す手段を持ち,
前記認証装置は,該ICカード接続装置に接続された該ICカードの真正性と該ICカード内に格納されている情報を実際にサービスを提供するサービス提供装置に保証するICカード証明書を構成し,該ICカード証明書をネットワークを介して該サービス提供装置に送信する手段を持ち,
該サービス提供装置は,該ICカード証明書の情報をもとに該サービス提供装置に提示された該ICカードに対応したサービスを行う手段を持つICカードサービスシステム。
【0137】
(8)複数のICカードと複数のサービス提供装置と少なくとも一つの認証装置とを有し,前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムを実現するためのサービス提供装置用のプログラムが記録された,計算機が読み取り可能な記録媒体であって,
ICカード所有者が前記ICカードのうち任意のICカードを接続した前記サービス提供装置が,前記認証装置に対して,該ICカードの真正性と該ICカード内に格納されている情報を該サービス提供装置に証明するように要求するICカード証明要求を構成し,該ICカード証明要求をネットワークを介して前記認証装置に送信し,該ICカード証明要求により,該サービス提供装置が前記認証装置から受け取ったICカード証明書の情報をもとに該サービス提供装置に提示された該ICカードに対応したサービスを行う処理を,計算機に実行させるプログラムが記録された記録媒体。
【0138】
(9)複数のICカードと複数のサービス提供装置と少なくとも一つの認証装置とを有し,前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムを実現するための認証装置用のプログラムが記録された,計算機が読み取り可能な記録媒体であって,
前記認証装置が,前記サービス提供装置からICカード証明要求を受け付け,ネットワークを介して該サービス提供装置に接続されたICカードと相互認証を行うとともに,該ICカード内に格納されている情報を読み出し,該サービス提供装置に接続された該ICカードの真正性と,該ICカード内に格納されている情報を,該サービス提供装置に保証するICカード証明書を構成し,該ICカード証明書をネットワークを介して該サービス提供装置に送信する処理を,計算機に実行させるプログラムが記録された記録媒体。
【0139】
(10)複数のICカードと少なくとも一つのICカード接続装置と少なくとも一つのサービス提供装置と少なくとも一つの認証装置とで構成され,前記ICカード接続装置と前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムを実現するためのICカード接続装置用のプログラムが記録された,計算機が読み取り可能な記録媒体であって,
ICカード所有者が任意のICカードを接続した前記ICカード接続装置が,前記認証装置に対して実際にサービスを行う該サービス提供装置のネットワーク位置を特定する情報を提供し,該ICカードの真正性と該ICカード内に格納されている情報を実際にサービスを行うサービス提供装置に証明する要求を行うICカード証明要求を構成し,該ICカード証明要求をネットワークを通じて前記認証装置に送信する処理を,計算機に実行させるプログラムが記録された記録媒体。
【0140】
(11)複数のICカードと少なくとも一つのICカード接続装置と少なくとも一つのサービス提供装置と少なくとも一つの認証装置とで構成され,前記ICカード接続装置と前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムを実現するための認証装置用のプログラムが記録された,計算機が読み取り可能な記録媒体であって,
前記認証装置が,前記ICカード接続装置からICカード証明要求を受けたときに,ネットワークを介して該ICカード接続装置に接続されたICカードと相互認証を行うとともに該ICカード内に格納されている情報を読み出し,該ICカード接続装置に接続された該ICカードの真正性と該ICカード内に格納されている情報を実際にサービスを提供する該サービス提供装置に保証するICカード証明書を構成し,該ICカード証明書を実際にサービスを行う該サービス提供装置にネットワークを通じて送信する処理を,計算機に実行させるプログラムが記録された記録媒体。
【0141】
(12)複数のICカードと少なくとも一つのICカード接続装置と少なくとも一つのサービス提供装置と少なくとも一つの認証装置とで構成され,前記ICカード接続装置と前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたICカードシステムを実現するためのサービス提供装置用のプログラムが記録された,計算機が読み取り可能な記録媒体であって,
実際にサービスを行う前記サービス提供装置が,前記認証装置から前記ICカード接続装置に接続されたICカードの真正性と該ICカード内に格納されている情報を保証するICカード証明書を受けたときに,該ICカード証明書の情報をもとに提示された該ICカードに対応したサービスを行う処理を,計算機に実行させるプログラムが記録された記録媒体。
【0142】
(13)上記方法において,前記ICカードは,前記ICカードに格納されている情報を暗号化し,認証装置に通知する段階を含むICカードサービス提供方法。
【0143】
(14)上記方法において,前記サービス提供装置または前記ICカード接続装置は,前記ICカード証明要求を該サービス提供装置または該ICカード接続装置のみが知り得る情報を用いて署名し添付する段階を含むICカードサービス提供方法。
【0144】
(15)上記方法において,前記認証装置は,前記サービス提供装置または前記ICカード接続装置を介してICカード所有者から正しいICカード所有者のみが知り得るICカード所有者認証情報を受け取る段階を含み,
前記認証装置は,ICカードの所有者をさらに保証する前記ICカード証明書を構成するICカードサービス提供方法。
【0145】
(16)上記方法において,前記認証装置は,前記サービス提供装置または前記ICカード接続装置を介して,ICカード所有者にICカードを該サービス提供装置または該ICカード接続装置に接続するよう求める段階を含むICカードサービス提供方法。
【0146】
(17)上記方法において,前記サービス提供装置または前記ICカード接続装置は,ICカード証明要求を作成した後,前記ICカード証明要求を含む情報を記録媒体に保存する段階を含むICカードサービス提供方法。
【0147】
(18)上記方法において,前記サービス提供装置は,前記認証装置よりICカード証明書を受け取った後,前記ICカード証明書を含む情報を記録媒体に保存する段階を含むICカードサービス提供方法
(19)上記方法において,前記認証装置は,ICカード証明書を作成した後,前記ICカード証明書を含む情報を記録媒体に保存する段階を含むICカードサービス提供方法。
【0148】
(20)上記方法において,前記認証装置は,ICカード証明要求を受け取った後,前記ICカード証明要求を含む情報を記録媒体に保存する段階を含むICカードサービス提供方法。
【0149】
(21)上記方法において,前記ICカード証明書は,前記認証装置のみが知り得る情報を用いた署名が添付される段階を含むICカードサービス提供方法。
【0150】
(22)上記方法において,前記認証装置と前記ICカードとで行う相互認証は,暗号化して行うICカードサービス提供方法。
【0151】
(23)上記方法において,前記認証装置は,ICカードを認証した日時とICカードに格納された情報を読み出した日時をICカード証明書にさらに記載し,前記サービス提供装置は,ICカード証明書に記載された該日時を確認したのちサービスを行う段階を含むICカードサービス提供方法。
【0152】
(24)上記方法において,前記サービス提供装置は,さらに前記ICカードと接続して該ICカードに格納されている情報を該ICカードから読み込み,該ICカード証明書によって証明される情報と該ICカードから読み込んだ情報をもとに提示されたICカードに対応したサービスを行う段階からなるICカードサービス提供方法。
【0153】
(25)上記方法において,前記認証装置は,ICカード証明書によって保証する内容を,ICカード証明要求を作成する主体あるいはサービス提供装置あるいはICカード接続装置,あるいは実際にサービスを行うサービス提供主体あるいはサービス提供装置によって,変更する段階を含むICカードサービス提供方法。
【0154】
(26)上記方法において,前記相互認証ではICカードは認証装置の認証を行わず,認証装置のみがICカードを認証するICカードサービス提供方法。
【0155】
(27)上記方法において,前記ICカードの代わりに,認証主体のみが知り得る情報を格納できる耐タンパ性を持つセキュリティ・アプリケーション・モジュール(SAM)を内蔵した装置を用いるICカードサービス提供方法。
【0156】
(28)上記方法において,前記ICカードの代わりに,第三者が装置中の情報を不正に読み書きできない前記ICカード以外の耐タンパ性装置を用いるICカードサービス提供方法。
【0157】
【発明の効果】
以上説明したように,本発明によれば,サービス提供主体とカードを発行し認証する認証主体とを別主体にすることができる。これにより,複数のサービス提供主体が一つの認証主体の発行する同一のICカードを利用してサービスを行うことができる。またサービス提供主体は特別な知識を必要とするICカードを直接扱う必要がなく,サービス自体の提供に専念することができる。
【0158】
これはサービス提供主体と認証主体とが別主体であることを可能にした本発明に起因する。このような利点は,商店街や複合ビルや総合遊園地などの多主体が一箇所に集まる場でのシステムや,あるいは広域の多くの主体が利用できるシステムを構築するには特に有効となるものである。
【図面の簡単な説明】
【図1】第1の実施の形態における処理のフローを示す図である。
【図2】ICカード証明要求書の例を示す図である。
【図3】ICカード証明書の例を示す図である。
【図4】第2の実施の形態におけるシステムの構成例を示す図である。
【図5】第3の実施の形態における処理のフローを示す図である。
【図6】第4の実施の形態における処理のフローを示す図である。
【図7】第5の実施の形態におけるシステムの構成例を示す図である。
【符号の説明】
1 認証装置
2 サービス提供装置
3 ICカード

Claims (10)

  1. 複数の耐タンパ性装置と,複数のサービス提供装置と,少なくとも一つの認証装置とで構成され,前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたシステムにおいて前記サービス提供装置がサービスを行う方法であって,
    前記サービス提供装置は,前記耐タンパ性装置の利用意思を受けると,該耐タンパ性装置の真正性を該サービス提供装置に証明するように前記認証装置に対して要求する証明要求を構成し,該証明要求をネットワークを通じて前記認証装置に送信し,
    前記認証装置は,ネットワークを介して該サービス提供装置に接続された該耐タンパ性装置の認証を,該耐タンパ性装置と該認証装置以外が解読できない暗号化手段を用いて行い,認証が成功した場合に,該耐タンパ性装置の真正性を保証する証明書を構成し,該証明書をネットワークを通じて該サービス提供装置に送信し,
    該サービス提供装置は,該証明書の情報をもとに,該サービス提供装置に提示された該耐タンパ性装置に対応したサービスを行う
    ことを特徴とする耐タンパ性装置によるサービス提供方法。
  2. 複数の耐タンパ性装置と,少なくとも一つの耐タンパ性装置接続装置と,少なくとも一つのサービス提供装置と,少なくとも一つの認証装置とで構成され,前記耐タンパ性装置接続装置と前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたシステムにおいて前記サービス提供装置がサービスを行う方法であって,
    前記耐タンパ性装置接続装置は,前記耐タンパ性装置の利用意思を受けると,該耐タンパ性装置の真正性を実際にサービスを行う前記サービス提供装置の少なくとも一つに証明する要求を前記認証装置に対して行う証明要求を構成し,該証明要求をネットワークを通じて前記認証装置に送信し,
    前記認証装置は,ネットワークを介して該耐タンパ性装置接続装置に接続された耐タンパ性装置の認証を,該耐タンパ性装置と該認証装置以外が解読できない暗号化手段を用いて行い,認証が成功した場合に,該耐タンパ性装置の真正性を保証する証明書を構成し,該証明書を実際にサービスを行う前記サービス提供装置にネットワークを通じて送信し,
    実際にサービスを行う前記サービス提供装置は,該証明書の情報をもとに提示された該耐タンパ性装置に対応したサービスを行う
    ことを特徴とする耐タンパ性装置によるサービス提供方法。
  3. 請求項1または請求項2記載の耐タンパ性装置によるサービス提供方法において,
    前記認証装置は,前記証明要求またはさらに前記耐タンパ性装置に格納された情報を保証することを要求する証明要求に対し,該証明要求に係る耐タンパ性装置内に格納されている情報を読み出し,該耐タンパ性装置の真正性の保証とともに,該耐タンパ性装置内に格納されている情報を前記サービス提供装置に保証する証明書,または該耐タンパ性装置の真正性を保証する証明書とは別に,該耐タンパ性装置内に格納されている情報を前記サービス提供装置に保証する証明書を構成し,該証明書をネットワークを通じて前記サービス提供装置に送信する
    ことを特徴とする耐タンパ性装置によるサービス提供方法。
  4. 請求項1,請求項2または請求項3記載の耐タンパ性装置によるサービス提供方法において,
    前記耐タンパ性装置は,ICカードまたは耐タンパ性を持つセキュリティ・アプリケーション・モジュールを内蔵した装置である
    ことを特徴とする耐タンパ性装置によるサービス提供方法。
  5. 複数の耐タンパ性装置と,複数のサービス提供装置と,少なくとも一つの認証装置とを有し,前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたサービス提供システムであって,
    前記サービス提供装置は,
    前記耐タンパ性装置の利用意思を受け付ける手段と,
    該利用意思の受け付けにより,該耐タンパ性装置の真正性を証明するように前記認証装置に対して要求する証明要求を構成し,該証明要求をネットワークを通じて前記認証装置に送信する手段と,
    該証明要求に対して前記認証装置から送信されてきた該耐タンパ性装置の真正性を保証する証明書の情報をもとに,該サービス提供装置に提示された該耐タンパ性装置に対応したサービスを行う手段とを備え,
    前記認証装置は,
    前記サービス提供装置から前記証明要求を受け付け,ネットワークを介して該サービス提供装置に接続された該耐タンパ性装置の認証を,該耐タンパ性装置と該認証装置以外が解読できない暗号化手段を用いて行う手段と,
    前記認証が成功した場合に,該耐タンパ性装置の真正性を保証する証明書を構成し,該証明書をネットワークを通じて該サービス提供装置に送信する手段とを備える
    ことを特徴とする耐タンパ性装置によるサービス提供システム。
  6. 複数の耐タンパ性装置と,少なくとも一つの耐タンパ性装置接続装置と,少なくとも一つのサービス提供装置と,少なくとも一つの認証装置とを有し,前記耐タンパ性装置接続装置と前記サービス提供装置と前記認証装置とがネットワークにより互いに接続されたサービス提供システムであって,
    前記耐タンパ性装置接続装置は,
    前記耐タンパ性装置の利用意思を受け付ける手段と,
    該耐タンパ性装置の真正性を実際にサービスを行う前記サービス提供装置の少なくとも一つに証明する要求を,前記認証装置に対して行う証明要求を構成し,該証明要求をネットワークを通じて前記認証装置に送信する手段とを備え,
    前記認証装置は,
    前記耐タンパ性装置接続装置から前記証明要求を受け付け,ネットワークを介して該耐タンパ性装置接続装置に接続された該耐タンパ性装置の認証を,該耐タンパ性装置と該認証装置以外が解読できない暗号化手段を用いて行う手段と,
    前記認証が成功した場合に,該耐タンパ性装置の真正性を保証する証明書を構成し,該証明書を実際にサービスを行う前記サービス提供装置にネットワークを通じて送信する手段とを備え,
    前記サービス提供装置は,
    前記認証装置から送信されてきた該耐タンパ性装置の真正性を保証する証明書の情報をもとに,該サービス提供装置に提示された該耐タンパ性装置に対応したサービスを行う手段を備える
    ことを特徴とする耐タンパ性装置によるサービス提供システム。
  7. 請求項5または請求項6記載の耐タンパ性装置によるサービス提供システムにおいて,
    前記認証装置は,
    前記証明要求またはさらに前記耐タンパ性装置に格納された情報を保証することを要求する証明要求に対し,該証明要求に係る耐タンパ性装置内に格納されている情報を読み出し,該耐タンパ性装置の真正性の保証とともに,該耐タンパ性装置内に格納されている情報を前記サービス提供装置に保証する証明書,または該耐タンパ性装置の真正性を保証する証明書とは別に,該耐タンパ性装置内に格納されている情報を前記サービス提供装置に保証する証明書を構成し,該証明書をネットワークを通じて前記サービス提供装置に送信する手段を備える
    ことを特徴とする耐タンパ性装置によるサービス提供システム。
  8. 複数のサービス提供装置にネットワークを介して接続され,前記サービス提供装置の一つに対して,該サービス提供装置に接続された耐タンパ性装置の真正性を証明する認証装置を実現するためのプログラムを記録した計算機読み取り可能な記録媒体であって,
    前記サービス提供装置から該サービス提供装置に接続された耐タンパ性装置の真正性を証明する証明要求を受け付ける処理と,
    該証明要求を受け付けた場合に,ネットワークを介して該サービス提供装置に接続された該耐タンパ性装置の認証を,該耐タンパ性装置と該認証装置以外が解読できない暗号化手段を用いて行う処理と,
    前記認証が成功した場合に,該耐タンパ性装置の真正性を該サービス提供装置に保証する証明書を構成し,該証明書をネットワークを通じて該サービス提供装置に送信する処理とを,
    計算機に実行させるプログラムを記録した
    ことを特徴とする認証装置のプログラム記録媒体。
  9. 少なくとも一つの耐タンパ性装置接続装置と少なくとも一つのサービス提供装置とにネットワークを介して接続され,前記サービス提供装置に対して,前記耐タンパ性装置接続装置に接続された耐タンパ性装置の真正性を証明する認証装置を実現するためのプログラムを記録した計算機読み取り可能な記録媒体であって,
    前記耐タンパ性装置接続装置から該耐タンパ性装置接続装置に接続された耐タンパ性装置の真正性を証明する証明要求を受け付ける処理と,
    該証明要求を受け付けた場合に,ネットワークを介して該耐タンパ性装置接続装置に接続された該耐タンパ性装置の認証を,該耐タンパ性装置と該認証装置以外が解読できない暗号化手段を用いて行う処理と,
    前記認証が成功した場合に,該耐タンパ性装置の真正性を実際にサービスを提供する前記サービス提供装置に対して保証する証明書を構成し,該証明書をネットワークを通じて該サービス提供装置に送信する処理とを,
    計算機に実行させるプログラムを記録した
    ことを特徴とする認証装置のプログラム記録媒体。
  10. 請求項8または請求項9記載の認証装置のプログラム記録媒体において,
    前記プログラムは,前記証明要求またはさらに前記耐タンパ性装置に格納された情報を保証することを要求する証明要求に対し,該証明要求に係る耐タンパ性装置内に格納されている情報を読み出し,該耐タンパ性装置の真正性の保証とともに,該耐タンパ性装置内に格納されている情報を前記サービス提供装置に保証する証明書,または該耐タンパ性装置の真正性を保証する証明書とは別に,該耐タンパ性装置内に格納されている情報を前記サービス提供装置に保証する証明書を構成し,該証明書をネットワークを通じて前記サービス提供装置に送信する処理を行うプログラムを含む
    ことを特徴とする認証装置のプログラム記録媒体。
JP29905399A 1999-10-21 1999-10-21 耐タンパ性装置によるサービス提供方法,サービス提供システムおよび認証装置のプログラム記録媒体 Expired - Fee Related JP3762163B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP29905399A JP3762163B2 (ja) 1999-10-21 1999-10-21 耐タンパ性装置によるサービス提供方法,サービス提供システムおよび認証装置のプログラム記録媒体

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP29905399A JP3762163B2 (ja) 1999-10-21 1999-10-21 耐タンパ性装置によるサービス提供方法,サービス提供システムおよび認証装置のプログラム記録媒体

Publications (2)

Publication Number Publication Date
JP2001119390A JP2001119390A (ja) 2001-04-27
JP3762163B2 true JP3762163B2 (ja) 2006-04-05

Family

ID=17867609

Family Applications (1)

Application Number Title Priority Date Filing Date
JP29905399A Expired - Fee Related JP3762163B2 (ja) 1999-10-21 1999-10-21 耐タンパ性装置によるサービス提供方法,サービス提供システムおよび認証装置のプログラム記録媒体

Country Status (1)

Country Link
JP (1) JP3762163B2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004048660A (ja) * 2002-05-24 2004-02-12 Sony Corp 情報処理システムおよび方法、情報処理装置および方法、記録媒体、並びにプログラム
JP5264182B2 (ja) * 2005-02-07 2013-08-14 フランス・テレコム 距離認識による高速事前認証のための方法
EP1908028A1 (en) * 2005-07-27 2008-04-09 Ingenia Technology Limited Authenticity verification
CN101517598B (zh) * 2006-09-20 2012-02-29 日本电气株式会社 有效性检查系统、有效性检查方法、信息处理卡、检查设备以及认证装置
JP5406199B2 (ja) * 2008-09-24 2014-02-05 パナソニック株式会社 記録再生システム、記録媒体装置及び記録再生装置
JP5451159B2 (ja) * 2009-04-14 2014-03-26 Necシステムテクノロジー株式会社 データ転送方法、データ転送システム及びデータ中継プログラム

Also Published As

Publication number Publication date
JP2001119390A (ja) 2001-04-27

Similar Documents

Publication Publication Date Title
EP3395006B1 (en) Method for managing a trusted identity
US10885501B2 (en) Accredited certificate issuance system based on block chain and accredited certificate issuance method based on block chain using same, and accredited certificate authentication system based on block chain and accredited certificate authentication method based on block chain using same
US7539861B2 (en) Creating and storing one or more digital certificates assigned to subscriber for efficient access using a chip card
US20080059797A1 (en) Data Communication System, Agent System Server, Computer Program, and Data Communication Method
JP4109548B2 (ja) 端末通信システム
US8452961B2 (en) Method and system for authentication between electronic devices with minimal user intervention
US5864667A (en) Method for safe communications
KR100520476B1 (ko) 디지털 컨텐츠 발행시스템 및 발행방법
Hassinen et al. An open, PKI-based mobile payment system
US20020131601A1 (en) Cryptographic key management method
US20070277013A1 (en) Method for transmitting protected information to a plurality of recipients
KR20030074483A (ko) 서비스 제공자 장치로부터 네트워크를 통하여 서비스이용자 장치에 서비스를 제공하는 서비스 제공 시스템
JP2009526321A (ja) 変化する識別子を使用して販売時点情報管理端末において取引を実行するためのシステム
CN101409621B (zh) 一种基于设备的多方身份认证方法及系统
US20230259899A1 (en) Method, participant unit, transaction register and payment system for managing transaction data sets
JP2005149341A (ja) 認証方法および装置、サービス提供方法および装置、情報入力装置、管理装置、認証保証装置、並びにプログラム
JP3762163B2 (ja) 耐タンパ性装置によるサービス提供方法,サービス提供システムおよび認証装置のプログラム記録媒体
JPWO2003105037A1 (ja) 購入者携帯端末と共働するデータ通信仲介装置
JPH1185014A (ja) 暗号情報交換方式
JP2001331646A (ja) 指紋照合を利用した金融取引システムおよび金融取引方法
KR100349888B1 (ko) 이동 단말에서 마이크로 익스플로워를 이용한 공개키인증시스템 및 인증방법
JP3999527B2 (ja) コンピュータネットワークの認証方法及びデータ配信方法
JP3634279B2 (ja) 複数icカード間及び同一icカード内のアプリケーション連携方法
KR100974496B1 (ko) 이동 통신 단말기를 이용한 인증 대행 시스템 및 그 대행 방법
JP4148465B2 (ja) 電子価値流通システムおよび電子価値流通方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050510

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050704

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20050704

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20060110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20060112

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D02

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090120

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100120

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110120

Year of fee payment: 5

LAPS Cancellation because of no payment of annual fees